応用情報技術者試験 応用情報技術者試験 令和4年度秋期 午前 問40: JPCERT コーディネーションセンターと IPA とが共同で運営する JVN の目的として，最も適切なものはどれか。

問題本文

JPCERT コーディネーションセンターと IPA とが共同で運営する JVN の目的として，最も適切なものはどれか。

選択肢

• ア.ソフトウェアに内在する脆弱性を検出し，情報セキュリティ対策に資する。
• イ.ソフトウェアの脆弱性関連情報とその対策情報とを提供し，情報セキュリティ対策に資する。
• ウ.ソフトウェアの脆弱性に対する汎用的な評価手法を確立し，情報セキュリティ対策に資する。
• エ.ソフトウェアの脆弱性のタイプを識別するための基準を提供し，情報セキュリティ対策に資する。

正解

イ. ソフトウェアの脆弱性関連情報とその対策情報とを提供し，情報セキュリティ対策に資する。

解説

JVN(Japan Vulnerability Notes)の目的を問う問題。JVN は JPCERT/CC と IPA が共同運営する脆弱性対策情報ポータルサイトで、日本で使われているソフトウェア製品の脆弱性関連情報と、その対策(修正方法やパッチ等)の情報を集約して提供する。脆弱性とその対策情報を提供して対策に役立てると述べた選択肢イが正解である。

選択肢ごとの解説

• ア.脆弱性を検出すること自体は脆弱性検査ツールなどの役割であり、JVN は検出ではなく既知の脆弱性情報と対策情報の提供を目的とするため誤り。
• イ.正しい。JVN はソフトウェアの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする。
• ウ.脆弱性の汎用的な評価手法は CVSS(共通脆弱性評価システム)の説明であり、JVN そのものの目的とは異なるため誤り。
• エ.脆弱性のタイプを識別する基準は CWE(共通脆弱性タイプ一覧)の説明であり、JVN の目的とは異なるため誤り。